Vous êtes sur la page 1sur 53

Microsoft Official Course

Module 3

Gestion des objets de services


de domaine Active Directory
Vue d'ensemble du module

• Gestion de comptes d'utilisateurs


• Gestion des comptes de groupes
• Gestion des comptes d'ordinateurs
• Délégation de l'administration
Leçon 1 : Gestion de comptes d'utilisateurs

• Outils d'administration d'AD DS


• Création de comptes d'utilisateurs
• Configuration des attributs de compte d'utilisateur
• Création des profils utilisateur
• Démonstration : Gestion des comptes
d'utilisateurs
Outils d'administration d'AD DS

Pour gérer les objets AD DS, vous pouvez utiliser


les outils graphiques suivants
• Composants logiciels enfichables
d'administration Active Directory
• Centre d'administration
Active Directory
Vous pouvez utiliser les outils en ligne de commande suivants
• Module Active Directory dans Windows PowerShell
• Commandes du service d'annuaire
Composants logiciels enfichables
d'administration Active Directory
La majorité de l'administration d'AD DS est exécutée à
l'aide des composants logiciels enfichables et consoles
suivants :
• Utilisateurs et ordinateurs Active Directory.
Ce composant logiciel enfichable gère la plupart des
ressources quotidiennes courantes, dont les utilisateurs,
les groupes, les ordinateurs et les unités d'organisation.
Il s'agit probablement du composant logiciel enfichable
le plus utilisé par un administrateur Active Directory.
• Sites et services Active Directory. Ce composant
logiciel enfichable gère la réplication, la topologie du
réseau et les services connexes.
Centre d'administration Active Directory

Centre d'administration Active Directory fournit une


interface utilisateur graphique (GUI) reposant sur Windows
PowerShell®. Cette interface améliorée vous permet
d'effectuer la gestion d'objets AD DS à l'aide de la
navigation orientée vers les tâches. Les tâches que vous
pouvez effectuer à l'aide du Centre d'administration Active
Directory comprennent :
• créer et gérer des comptes d'utilisateurs, d'ordinateurs et
de groupes ;
• créer et gérer des unités d'organisation ;
• se connecter à plusieurs domaines, et les gérer, dans une
instance unique du Centre d'administration Active
Directory ;
• rechercher et filtrer des données d'Active Directory en
générant des requêtes.
Windows PowerShell

• Vous pouvez utiliser le module Active Directory


pour Windows PowerShell (module Active
Directory) pour créer et gérer des objets dans AD
DS.
• Windows PowerShell est non seulement un
langage de script, mais il permet également
d'exécuter les commandes qui effectuent des
tâches d'administration, telles que la création de
comptes d'utilisateurs, la configuration de
services, la suppression de boîtes aux lettres, et
autres fonctions similaires.
Description des comptes d'utilisateurs

• Un compte d’utilisateur est un objet qui regroupe


toutes les informations définissant un utilisateur
sur Windows Server. Ce compte peut être:
• un compte local ou un compte de domaine.
• Il contient le nom d’utilisateur et le mot de passe
avec lesquels l’utilisateur ouvre une session, et les
groupes dont le compte d’utilisateur est membre.
Types de compte d'utilisateurs
Compte d’utilisateur
Points
Création de comptes d'utilisateurs
Configuration des attributs de compte d'utilisateur
Les attributs
• Lorsque vous créez un objet utilisateur, vous
n'êtes pas obligé de définir de nombreux attributs
autres que ceux requis pour permettre à
l'utilisateur de se connecter à l'aide du compte.
• Catégories d'attributs
Les attributs d'un objet utilisateur peuvent être
répartis dans plusieurs grandes catégories. Ces
catégories s'affichent dans le volet de navigation de
la boîte de dialogue Propriétés de l'utilisateur
dans le Centre d'administration Active Directory,
catégorie compte
• Heures d'ouverture de session. Cette propriété définit quand
le compte peut être utilisé pour accéder à des ordinateurs de
domaine.
• Se connecter à. Utilisez cette propriété pour définir quels
ordinateurs un utilisateur peut utiliser pour ouvrir une session
sur le domaine. Spécifiez le nom de l'ordinateur et ajoutez-le à
la liste des ordinateurs autorisés.
• Date d'expiration du compte. Cette valeur est utile si vous
souhaitez créer des comptes d'utilisateurs temporaires. Par
exemple, si vous souhaitez créer des comptes d'utilisateurs pour
des stagiaires, utilisés pendant un an seulement. Vous pouvez
utiliser cette valeur pour définir à l'avance une date d'expiration
du compte.
• Changer le mot de passe à la prochaine session. Cette
propriété permet pour forcer un utilisateur à réinitialiser son
mot de passe la prochaine fois qu'il ouvre une session. En
général, vous activez cette option après la réinitialisation du mot
de passe d'un utilisateur.
Création des profils utilisateur
Profils utilisateurs

• Un profil est un environnement spécifiquement conçu


pour un utilisateur , il contient les paramètres du bureau
et des applications de l’ utilisateur
• Trois types de profils à distingués :
• Profil local : Profil créer sur un ordinateur quand un
utilisateur ouvre une session . ce profil est spécifique à un
utilisateur local à cette ordinateur est stocké sur le disque
dur de celui-ci
• Profil itinérant : Profil créer par l ’ administrateur et
stocké sur un serveur. ce profil suit l’ utilisateur concerné
sur tout ordinateur du réseau
• Profil obligatoire : Profil itinérant qui ne peut pas être
modifié que par un administrateur
• Pour rendre un profil itinérant, profil obligatoire : il faut
renommer le fichier NTUSER.dat en NTUSER.man
Dossier de base

• Cette valeur permet de créer une zone de


stockage personnelle dans laquelle les utilisateurs
peuvent sauvegarder leurs documents personnels.
• Vous pouvez spécifier un chemin d'accès local ou,
plus souvent, un chemin d'accès UNC au dossier
de l'utilisateur.
• Vous devez également spécifier une lettre de
lecteur qui est utilisée pour mapper un lecteur
réseau au chemin UNC spécifié.
• Vous pouvez alors configurer les documents
personnels d'un utilisateur à ce dossier de base
redirigé.
Suppression d'un compte d’utilisateur
• Il est important de savoir que lorsqu'un compte est supprimé, il est
supprimé de l'ensemble de l'annuaire. Vous ne pouvez pas
simplement recréer un compte avec le nom du compte supprimé en
espérant qu'il ait les mêmes membres de groupe etaccès aux
ressources. La perte du SID de l'utilisateur et de ses appartenances aux
groupes peut générer de graves problèmes si vous réalisez par la suite
que vous avez besoin du compte.
• C'est la raison pour laquelle les entreprises désaffectent généralement
les comptes d'utilisateur par étapes. Tout d'abord, le compte est
désactivé. Après un certain délai, il est supprimé.
Modification des attributs de plusieurs utilisateurs
Démonstration : Gestion des comptes d'utilisateurs

Dans cette démonstration, vous allez apprendre à


• Ouvrir le Centre d’administration Active Directory
• Supprimer un compte d'utilisateur
• Créer un compte d'utilisateur
• Déplacer le compte d'utilisateur
Leçon 2 : Gestion des comptes de groupes

• Types de groupes
• Étendues de groupes
• Implémentation de la gestion des groupes
• Groupes par défaut
• Identités spéciales
• Démonstration : Gestion des groupes
Présentation

• Un groupe est un ensemble de comptes


d’utilisateurs et de comptes d’ordinateurs que
vous pouvez administrer sous la forme d’une
entité.
• Les groupes :
• simplifient l’administration en permettant d’accorder
des autorisations sur des ressources une seule fois à
un groupe plutôt qu’à chaque compte d’utilisateur
individuellement ;
• peuvent être situés dans Active Directory ou
localement sur un ordinateur personnel ;
• peuvent être imbriqués, ce qui signifie que vous
pouvez insérer un groupe dans un autre groupe.
Les caractéristiques d’ un groupe

Les groupes se caractérisent par l'étendue et le


type
• L'étendue d'un groupe détermine si le groupe
couvre plusieurs domaines ou s'il est limité à un
seul domaine
• Les trois étendues de groupe sont global,
domaine local et universel
Types de groupes

• Groupes de distribution
• Utilisés uniquement avec
les applications de messagerie
• Sans sécurité activée (pas de SID) ;
ne peuvent pas se voir attribuer
des autorisations

• Groupes de sécurité
• Entité de sécurité avec un SID ;
peuvent se voir attribuer
des autorisations
• La réception de messages
électroniques peut être activée
GROUPE GLOBAL

• Ce type de groupe est principalement utilisé pour


regrouper les utilisateurs qui présentent des
caractéristiques semblables.
• Par exemple, des groupes globaux sont souvent utilisés
pour regrouper les utilisateurs qui font partie d'un service
ou d'un emplacement géographique.
Les principales caractéristiques des groupes globaux sont
• Les membres peuvent uniquement provenir du domaine
local et peuvent inclure : des utilisateurs, ordinateurs et
groupes globaux du domaine local.
• Vous pouvez attribuer des capacités et des autorisations
n'importe où dans la forêt.
GROUPE UNIVERSEL

• Ce type de groupe est le plus utile dans les réseaux


multidomaines car qu'il combine les caractéristiques des
groupes locaux de domaine et des groupes globaux.
les principales caractéristiques des groupes universels sont
• Les membres peuvent être n'importe où dans la forêt AD
DS, et peuvent inclure : des utilisateurs, ordinateurs et
groupes globaux et groupe Universels de n'importe quel
domaine dans la forêt ;
• Vous pouvez attribuer des capacités et des autorisations
n'importe où dans la forêt, comme pour les groupes
globaux.
• des groupes universels définis dans n'importe quel
domaine de la forêt.
GROUPE de Domaine local.

• Ce type de groupe est principalement utilisé pour gérer l'accès aux


ressources ou pour attribuer des responsabilités de gestion (droits).
Les principales caractéristiques des groupes locaux de domaine sont :
• Les membres peuvent être n'importe où dans la forêt AD DS, et
peuvent inclure :
• des entités de sécurité du domaine : utilisateurs, ordinateurs, groupes
globaux ou groupes locaux de domaine ;
• des utilisateurs, ordinateurs et groupes globaux de n'importe quel
domaine dans la forêt ;
• des utilisateurs, ordinateurs et groupes globaux de n'importe quel
domaine approuvé ;
• des groupes universels définis dans n'importe quel domaine de la
forêt.
• Vous pouvez attribuer des capacités et des autorisations uniquement
sur les ressources locales de domaine, c'est-à-dire sur tous les
ordinateurs du domaine local.
Les Autorisations et les droits

• Les droits déterminent ce que les membres d’un


groupe de sécurité peuvent faire dans un domaine
ou dans une forêt, tandis que les autorisations
déterminent les ressources auxquelles un membre
d’un groupe peut accéder dans le réseau.
Local.
Groupe Local
• Ce type de groupe est conçu pour les serveurs ou stations de travail
autonomes, sur des serveurs membres du domaine qui ne sont pas des
contrôleurs de domaine ou sur des stations de travail membres du domaine.
• Les groupes locaux sont disponibles uniquement sur ordinateur sur lequel
ils existent.
• Vous pouvez attribuer des capacités et des autorisations uniquement sur les
ressources locales, c'est-à-dire sur l'ordinateur local.
• Les membres peuvent être n'importe où dans la forêt AD DS, et peuvent
inclure :
• des entités de sécurité du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes
locaux de domaine ;
• des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine dans la forêt ;
• des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine approuvé ;
Étendues de groupes
Membres Possibilité de
Membres d'un
Étendue Membres d'un d'un domaine se voir attribuer
domaine dans
de groupe même domaine externe des autorisations
la même forêt
approuvé aux ressources
Local U, O, U, O, U, O, Sur l'ordinateur
GG, GLD, GU GG, GU GG local uniquement
et utilisateurs locaux

Domaine local U, O, U, O, U, O, N'importe


GG, GLD, GU GG, GU GG où dans le domaine

Universel U, O, U, O, N/A N'importe


GG, GU GG, GU où dans la forêt

Global U, O, N/A N/A N'importe où


GG dans le domaine
ou dans un domaine
approuvé

U Utilisateur GLD Groupe local de domaine


O Ordinateur GU Groupe universel
GG Groupe global
Implémentation de la gestion des groupes

I Identités
Utilisateurs ou ordinateurs
qui sont membres de

G Groupes globaux
qui collectent des membres
en fonction de leurs rôles, Ventes
qui sont membres de (groupe global)
Auditeurs
(groupe global)
DL Groupes locaux de domaine ACL_Sales_Read
qui assurent la gestion (groupe local de domaine)
telle que l'accès aux ressources,
qui sont

A Accès autorisé à une ressource

Dans une forêt à plusieurs


domaines, il s'agit d'IGUDLA,
où U signifie Universel
Groupes par défaut

• Gérez avec soin les groupes par défaut qui fournissent


des privilèges administratifs, car ces groupes
• Ont en général des privilèges plus vastes que nécessaire
pour la plupart des environnements délégués
• Appliquent souvent la protection à leurs membres

Groupe Emplacement
Administrateurs Conteneur Utilisateurs du domaine racine
de l'entreprise de la forêt
Administrateurs du schéma Conteneur Utilisateurs du domaine racine
de la forêt
Administrateurs Conteneur intégré de chaque domaine
Admins du domaine Conteneur Utilisateurs de chaque domaine
Opérateurs de serveur Conteneur intégré de chaque domaine
Opérateurs de compte Conteneur intégré de chaque domaine
Opérateurs de sauvegarde Conteneur intégré de chaque domaine
Opérateurs d'impression Conteneur intégré de chaque domaine
Identités spéciales

• Les identités spéciales


• Sont des groupes pour lesquels l'appartenance
est contrôlée par le système d'exploitation
• Peuvent être utilisés par le système d'exploitation
Windows Server pour fournir l'accès aux ressources
• En fonction du type d'authentification ou de connexion
• Pas en fonction du compte d'utilisateur
• Les identités spéciales importantes incluent
• Ouverture de session anonyme
• Utilisateurs authentifiés
• Tout le monde
• Interactif
• Réseau
Identités spéciales
•• Ouverture de session anonyme. Cette identité représente des
connexions à un ordinateur et à ses ressources qui sont établies sans
fournir de nom d'utilisateur et de mot de passe. Avant Windows Server
2003, ce groupe était membre du chacun Tout le monde. À partir de
Windows Server 2003, ce groupe n'est plus un membre par défaut du
groupe Tout le monde.
• • Utilisateurs authentifiés. Ceci représente les identités qui ont été
authentifiées. Ce groupe n'inclut pas le compte Invité, même si celui-ci
a un mot de passe.
• • Tout le monde. Cette identité comprend le groupe Utilisateurs
authentifiés et le compte Invité. (Sur les ordinateurs qui exécutent des
versions du système d'exploitation Windows Server antérieures à
Windows Server 2003, ce groupe inclut le groupe Ouverture de
session anonyme.)

Identités spéciales

• Interactif. Ceci représente les utilisateurs qui accèdent à une ressource


en étant connectés localement à l'ordinateur qui héberge la ressource,
et non via le réseau. Lorsqu'un utilisateur accède à une ressource
quelconque sur un ordinateur sur lequel l'utilisateur a ouvert une
session localement, l'utilisateur est automatiquement ajouté au
groupe Interactif pour cette ressource. Le groupe Interactif comprend
également les utilisateurs qui ouvrent une session via une connexion
Bureau à distance.
• • Réseau. Ceci représente les utilisateurs qui accèdent à une ressource
sur le réseau, et non les utilisateurs qui sont connectés localement à
l'ordinateur qui héberge la ressource. Lorsqu'un utilisateur accède à
une ressource quelconque sur le réseau, l'utilisateur est
automatiquement ajouté au groupe Réseau pour cette ressource.

Démonstration : Gestion des groupes

Dans cette démonstration, vous allez apprendre à


• Créer un groupe
• Ajouter des membres au groupe
• Ajouter un utilisateur au groupe
• Changer le type et l'étendue du groupe
• Modifier la propriété Géré par du groupe
Leçon 3 : Gestion des comptes d'ordinateurs

• Qu'est-ce que le conteneur Ordinateurs ?


• Spécification de l'emplacement des comptes
d'ordinateurs
• Contrôle des autorisations pour créer des comptes
d'ordinateurs
• Comptes d'ordinateurs et canaux sécurisés
• Réinitialisation du canal sécurisé
Intérêt de la création d'un compte d'ordinateur
Description des comptes d'ordinateurs

• Tout ordinateur qui exécute Microsoft Windows


qui est joint à un domaine dispose d’un compte
d’ordinateur.
• Les comptes d’ordinateurs, fournissent un moyen
d’authentifier et d’auditer l’accès des ordinateurs
au réseau ainsi qu’aux ressources du domaine.
Qu'est-ce que le conteneur Ordinateurs ?
Spécification de l'emplacement des comptes
d'ordinateurs
• La meilleure pratique consiste
à créer des unités d'organisation
pour les objets ordinateur
• Serveurs
• En général, subdivisés par rôle serveur
• Ordinateurs clients
• En général, subdivisés par région
• Diviser les unités d'organisation
• Par administration
• Pour faciliter la configuration
avec une stratégie de groupe
Contrôle des autorisations pour créer des comptes
d'ordinateurs
Comptes d'ordinateurs et canaux sécurisés

• Les ordinateurs ont des comptes


• sAMAccountName et mot de passe
• Utilisés pour créer un canal sécurisé entre l'ordinateur
et le contrôleur de domaine
• Scénarios dans lesquels un canal sécurisé peut être rompu
• La réinstallation d'un ordinateur, même avec le même nom,
génère un nouveau SID et un nouveau mot de passe
• La restauration d'un ordinateur à partir d'une ancienne
sauvegarde, ou la restauration d'un ordinateur d'après
une capture instantanée ancienne
• Désaccord entre l'ordinateur et le domaine à propos
du mot de passe
Réinitialisation du canal sécurisé

• Ne pas supprimer un ordinateur d'un domaine


et l'y joindre à nouveau
• Ce processus crée un nouveau compte, ce qui entraîne
un nouveau SID et la perte des appartenances
aux groupes
• Options de réinitialisation du canal sécurisé
• Utilisateurs et ordinateurs Active Directory
• DSMod.exe
• NetDom.exe
• NLTest.exe
• Windows PowerShell
Leçon 4 : Délégation de l'administration

• Autorisations AD DS
• Autorisations AD DS effectives
• Démonstration : Délégation du contrôle
administratif
Autorisations AD DS
Autorisations AD DS effectives
Les autorisations attribuées aux utilisateurs
et aux groupes se cumulent
La meilleure pratique consiste à affecter des autorisations
à des groupes et non à des utilisateurs individuels
En cas de conflits
• Refuser des autorisations est prioritaire par rapport
à autoriser des autorisations
• Les autorisations explicites ont priorité sur les
autorisations héritées
• Une autorisation explicite a priorité sur un refus hérité
Pour évaluer les autorisations effectives, vous pouvez
utiliser
• L'onglet Autorisations effectives
• L'analyse manuelle
Démonstration : Délégation du contrôle administratif

Dans cette démonstration, vous allez apprendre à


• Déléguer une tâche standard

• Déléguer une tâche personnalisée

• Afficher les autorisations AD DS qui résultent


de ces délégations
Atelier pratique : Gestion des objets de services
de domaine Active Directory

• Exercice 1 : Délégation de l'administration


pour une filiale
• Exercice 2 : Création et configuration de comptes
d'utilisateurs dans AD DS
• Exercice 3 : Gestion des objets ordinateur
dans AD DS
Informations d'ouverture de session
Ordinateurs virtuels 22410B-LON-DC1
22410B-LON-CL1
Nom d'utilisateur ADATUM\Administrateur
Mot de passe Pa$$w0rd
Durée approximative : 60 minutes
Scénario d'atelier pratique

A. Datum Corporation est une société internationale d'ingénierie et de


fabrication, dont le siège social est basé à Londres, en Angleterre. Un bureau
informatique et un centre de données sont situés à Londres pour assister
le bureau de Londres et d'autres sites. A. Datum a récemment déployé
une infrastructure Windows Server 2012 avec des clients Windows 8
Vous avez travaillé pour A. Datum en tant que spécialiste du support
technique et avez consulté les ordinateurs de bureau pour résoudre
les problèmes d'application et de réseau. Vous avez récemment accepté
une promotion au sein de l'équipe d'assistance technique des serveurs.
L'une de vos premières missions consiste à configurer le service
d'infrastructure pour une nouvelle filiale
Pour commencer le déploiement de la nouvelle filiale, vous préparez des
objets AD DS. Dans le cadre de cette préparation, vous devez créer une unité
d'organisation pour la filiale et déléguer l'autorisation de la gérer. Ensuite, vous
devez créer des utilisateurs et des groupes pour la nouvelle filiale. Enfin, vous
devez réinitialiser le canal sécurisé pour un compte d'ordinateur qui a perdu
la connectivité au domaine dans la filiale
Contrôle des acquis de l'atelier pratique

• Quelles sont les options qui permettent de


modifier les attributs des utilisateurs, nouveaux
et existants ?
• Quels sont les types d'objets qui peuvent être
membres des groupes globaux ?
• Quels sont les types d'objets qui peuvent être
membres des groupes locaux de domaine ?
• Quelles sont les deux informations d'identification
nécessaires pour qu'un ordinateur puisse joindre
un domaine ?
Contrôle des acquis et éléments à retenir

• Questions de contrôle des acquis


• Outils
• Méthode conseillée